DevMedia
Você precisa estar logado para dar um feedback. Clique aqui para efetuar o login
Para efetuar o download você precisa estar logado. Clique aqui para efetuar o login
Este é um post disponível para assinantes MVP
Este post também está disponível para assinantes da Infra Magazine
ou para quem possui Créditos DevMedia.

Clique aqui para saber como acessar este post

1) Torne-se um assinante MVP e por apenas R$ 69,90 por mês você terá acesso completo a todos os posts. Assinar MVP

2) Adquira Créditos: comprando R$ 180,00 em créditos esse post custará R$ 1,20. Comprar Créditos

Infra Magazine 2 - Índice

Segurança física dos ativos - Revista Infra Magazine 2

Este artigo discorre sobre a segurança física dos ativos. Para isso, tem seu foco direcionado para a explicação da seção 9 da norma ISO 27002. Esta norma tem como objetivo auxiliar a implantação, a manutenção e a melhoria contínua dos controles

[fechar]

Você não gostou da qualidade deste conteúdo?

(opcional) Você poderia comentar o que não lhe agradou?

Confirmo meu voto negativo

Nunca se falou tanto em Segurança da Informação como no último ano. Foram diversos eventos, artigos, reportagens, palestras e lançamentos de novos produtos e serviços ao longo de 2010 que contribuíram para o fortalecimento deste setor. Porém, no dia a dia das empresas ainda há muito que se fazer, principalmente no âmbito das pequenas e médias empresas (PMEs), que ainda possuem grandes dificuldades em adotar requisitos básicos de segurança, sobretudo na infraestrutura que suporta o negócio da empresa.

Enxergar o departamento de TI como uma área que suporta toda a operação relacionada ao negócio da empresa ainda é algo raro no meio empresarial das PMEs. Se mal há investimentos em equipamentos e sistemas básicos para o funcionamento da rede, é de se esperar que não haja qualquer melhoria em questões de segurança. Parte da causa deste problema, em muitos casos, é do próprio gestor do departamento de TI, que por ter uma formação puramente técnica, acaba tendo dificuldades em apresentar argumentos na hora de buscar investimentos para sua área.

Em outros casos, os argumentos são mesmo difíceis de mensurar, principalmente investimentos em segurança que muitas vezes só têm um retorno palpável para o empresário quando ele percebe que a ocorrência de uma falha não paralisou suas atividades. Outros tipos de investimento só serão notados ao longo do tempo por não se tratar de um produto físico, mas de uma mudança cultural, que envolve treinamento e conscientização de toda a equipe.

Mas no que se diz respeito à segurança da infraestrutura, há diversos investimentos que podemos dizer que são um pouco mais “fáceis” de justificar, desde que os argumentos mostrem um ganho ao negócio. É o que chamamos de Entrega de Valor ao Cliente.

Quando falamos de segurança de uma infraestrutura de rede, pensamos em datacenters robustos, verdadeiras salas-cofre, rede elétrica estabilizada com potentes no-breaks e geradores de grande porte, além de robôs automatizados de backup. Mas se avaliarmos de forma mais detalhada, veremos que há outras inúmeras ações a serem estudadas para garantir um nível adequado de segurança da infraestrutura de rede. Todas estas ações estão organizadas na Norma ABNT NBR ISO/IEC 27002:2005 - Código de Prática para a Gestão de Segurança da Informação.

Esta norma tem como objetivo auxiliar a implantação, a manutenção e a melhoria contínua dos controles de segurança da informação, padronizando diretrizes e procedimentos que auxiliarão a organização na sua gestão. A Norma ISO 27002 possui 133 controles, divididos em 11 seções, que abrangem a segurança da informação em todos os seus aspectos, tratando de ferramentas, processos e pessoas.

Além da proteção física dos ativos, a norma apresenta uma série de recomendações que visam proteger a informação em três fundamentais aspectos:

·         Confidencialidade: este aspecto da informação visa garantir que somente as pessoas previamente autorizadas tenham acesso à informação. Neste caso, por exemplo, utilizamos sistemas com contas de acesso exclusivas, senhas individuais e softwares de criptografia para proteger o acesso e a comunicação dos dados;

·         Integridade: garantir que a informação permaneça autentica e que se for alterada seja somente por pessoas autorizadas. A integridade é importante principalmente para garantir a autenticidade de informações disponibilizadas publicamente. Este tipo de informação deve ser preservado para que ninguém altere seu conteúdo ou seu autor;

·         Disponibilidade: garantir que a informação esteja disponível sempre que for necessário para as pessoas autorizadas. Para atingir este objetivo é que utilizamos sistemas de backup, links redundantes, servidores de contingência, por exemplo.

 

Não necessariamente uma informação deve possuir estes três aspectos para garantir sua proteção. De acordo com a classificação da informação é que o proprietário poderá definir o nível adequado de segurança.

Para garantir estes três fundamentais aspectos da segurança da informação, a Norma ISO 27002 abrange em suas 11 seções uma série de ações, que envolvem soluções tecnológicas, documentação de processos e conscientização de pessoas.

"

A exibição deste artigo foi interrompida

Este post está disponível para assinantes MVP.



É Analista de Segurança da Informação na ABCTec, com 14 anos de experiência na área de TI (Suporte, Gestão, Consultoria), especializado em análise de vulnerabilidades e no tratamento de incidentes de segurança da informação. Forma [...]

O que você achou deste post?
Publicidade
Serviços

Mais posts